ctf入门常见类别

原视频在这里：实验吧-名师指导http://www.shiyanbar.com/course-video/watch-video/cid/419/vid/2000网络安全从业者尝试介绍

web应用渗透测试技术分类：扫描技术；注入技术；上传技术；钓鱼攻击。

1. 扫描技术：与防火墙、入侵检测系统相互配合使用，主动防范

• 主机安全扫描技术：针对系统中的脆弱口令设置及对其它与安全规则相抵触的对象检查
• 网络安全扫描技术：通过执行脚本文件模拟对系统进行攻击的行为并记录系统的反应，发现漏洞

Awvs工具扫描

2. 注入技术

重点sql注入攻击，了解sql注入攻击的原理、形成原因。

根本原理：数据库和代码未作严格的分离。

 

 

3. 钓鱼攻击

取证方法：

1. 扫描攻击取证：wireshark抓包 利用命令http.request.uri.matches"wvs"

2. web攻击取证：web日志发现线索，可能找到sql攻击。

3. 工具使用：入侵检测系统snort